РЕШЕНИЕ
№Ж-46/2017г.
София, 22.08.2017г.
Комисията за защита на личните данни (КЗЛД) в състав: Цветелин Софрониев, Мария Матева и Веселин Целков на заседание, проведено на 21.06.2017г., на основание чл.10, ал.1, т.7 от Закона за защита на личните данни, разгледа по същество жалба №Ж-46/08.02.2017г., подадена от О.Д.А.
Административното производство е по реда на чл.38 от Закона за защита на личните данни (ЗЗЛД).
Комисията за защита на личните данни е сезирана с жалба, подадена от О.Д.А., с изложени твърдения за неправомерно обработване на личните му данни.
Жалбоподателят твърди, че е налице неправомерен достъп до личните му данни обработвани от Национална агенция за приходите (НАП) и нарушение на правата му по ЗЗЛД от страна на Т.Г.М., в качеството й на служител на Териториална дирекция на НАП София, район „Илинден“. Твърди, че от 2010г. служителката без пряка или косвена връзка със служебните й задължения и правомощия, злоупотребявайки със служебното си положение, проверява личните му данни – състоянието на осигурителния му статус и доход, и използва тази информация за лични цели, различни от тези за които са събрани и обработвани от НАП.
Към жалбата не са приложени доказателства.
В условията на залегналото в административния процес служебно начало и задължението на административния орган за служебно събиране на доказателства и изясняване на действителните факти от значение за случая, от НАП и ТД на НАП София са изискани писмени становища.
В отговор от ТД на НАП София е изразено становище за неоснователност на жалбата, в което оспорват твърденията на жалбоподателя. Информират, че Т.Г.М. е служител на Агенцията на длъжност началник отдел „Услуги за клиента“, офис „Илинден“, ТД на НАП – София. Твърдят, че от направена по случая проверка в информационните масиви на НАП е констатирано, че същата не е обработвала лични данни на жалбоподателя и допълват, че в подкрепа на горното са и дадените от нея обяснения, в които декларирала, че не е обработвала данни на г-н О.Д.А.
От НАП информират, че са предприети необходимите технически и организационни мерки за защита на обработваните лични данни на физически лица, в това число Инструкция №2/11.06.2013г. за мерките и средствата на защита на личните данни, обработвани от НАП и реда за движение на преписките и заявяване на регистри, с която служителите са запознати и спазват. Твърдят, че освен текущ осъществява и периодичен контрол до 15 число на месеца, следващ шестмесечието за спазване на инструкцията и установените вътрешни правила за защита на личните данни.Допълват, че със Заповед №ЗЦУ-933/04.08.2016г. на изпълнителния директор на НАП са определени стандартни профили за достъп на определени групи служители до автоматизираните информационни системи за служителите на НАП, като по този начин е изпълнено изискването на чл.52 от Наредбата за общите изисквания за мрежова и информационна сигурност. Отделно от това сочат, че със Заповед №ЗЦУ-240/05.03.2012г. на изпълнителния директор на НАП са утвърдени: „Правила за правата и задълженията на потребителите ползващи информационни архиви в НАП“, „Правила за управление на достъпа до информационните архиви и услуги в НАП“, „Правила за ползване на мрежови файлови ресурси в НАП“, а със Заповед №ЗЦУ-937/13.08.2015г. са утвърдения „Правила за работа от разстояние в НАП“, Правила за работа с преносими информационни архиви в НАП“ и „Правила за ползване на електронната поща в НАП“, който твърдят че служителите на Агенция спазват. Информират, че се извършват и случайни наблюдения и инспекции за потвърждаване сигурността на информационните архиви в съответствие с Политиката по информационна сигурност, утвърдена със Заповед №ЗЦУ-876/15.09.2011г. на изпълнителния директор на НАП. В заключение от НАП са категорични, че като администратор на лични данни са предприели всички необходими мерки за защита на личните данни обработвани от тях и обработват същите законосъобразно в съответствие с изискванията на ЗЗЛД.
Към становището са приложени относими доказателства, в това число обяснения от Т.Г.М. и справка от информационните масиви на НАП за обработени данни на О.Д.А. за периода 01.01.2010г. до 10.03.2017г.
Комисията за защита на личните данни е независим държавен орган, който осъществява защита на лицата при обработването на личните им данни и при осъществяване на достъпа до тези данни, както и контрол по спазването на ЗЗЛД.
За да упражни правомощията си, Комисията следва да бъде валидно сезирана.
Жалбата съдържа задължително изискуемите реквизити, посочени в чл.30, ал.1 от Правилника за дейността на Комисията за защита на личните данни и на нейната администрация, а именно: налице са данни за жалбоподателя, естеството на искането, дата и подпис, с оглед което жалбата е редовна.
Жалбата е подадена в срока по чл.38, ал.1 от ЗЗЛД от физическо лице с правен интерес. Същата има за предмет неправомерен достъп до обработваните от НАП лични данни на жалбоподателя свързани с осигурителния му статус и доход, и използването им от служител на НАП за лични цели, различни от тези за които са събрани. С жалбата е сезиран компетентен да се произнесе орган – КЗЛД, която съгласно правомощията си по чл.10, ал.1, т.7 от ЗЗЛД разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД.
Наличието на администратор на лични данни е абсолютна процесуална предпоставка за допустимост на жалбата. В конкретния случай и предвид изложените от страните твърдения и събраните доказателства се налага извода, че администратор на лични данни е НАП. От направена служебна справка в Електронния регистър на администраторите на лични данни и на водените от тях регистри се установи, че НАП е изпълнила задължението си по чл.17, ал.1 от ЗЗЛД и е регистрирана като администратор на лични данни с идент. №11402 и заявени 51 регистъра.
Т.Г.М. – служител на Агенцията има качеството на обработващ лични данни от името и за сметка на администратора на лични данни. В тази връзка и предвид обстоятелството, че приложимостта на ЗЗЛД е свързана със защита на физическите лица във връзка с обработването на техните лични данни от лица, имащи качество на администратори на лични данни по смисъла на легалната дефиниция на чл.3 от него се налага извода, че жалбата в частта й насочена към г-жа Т.Г.М. е процесуално недопустима, тъй като не е налице пасивна процесуална легитимация на г-жа Т.Г.М. и същата няма качеството на администратор на лични данни. Отделно от това и предвид твърденията на г-н О.Д.А., че Т.Г.М. е използвала данните за лични цели, по отношение на г-жа Т.Г.М. приложение намира и разпоредбата на чл.1, ал.9 от ЗЗЛД, съгласно която ЗЗЛД не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности.
На проведено на 29.03.2017г. заседание на Комисията, жалбата е приета за частично допустима по съображения посочени по-горе. Недопустима в частта й насочена срещу Т.Г.М., предвид липсата на пасивно легитимирана страна – администратор на лични данни и допустима в останалата й част, а именно по отношение на НАП – администратор на лични данни.
Като страни в производството са конституирани: жалбоподател – О.Д.А., ответна страна – НАП и заинтересована страна – Т.Г.М. Страните са редовно уведомени за насроченото за 25.04.2017г. открито заседание за разглеждане на жалбата по същество и им е указано разпределянето на доказателствената тежест в процеса.
С Решение от проведено на 25.04.2017г. заседание, разглеждането на жалбата по същество е отложено за събиране на допълнителни доказателства и с оглед изясняване на случая от фактическа страна от ответната страна е изискана справка, под формата на лог файлове, за осъществяван персонализиран достъп до данните на жалбоподателя за периода 01.01.2010г. до 10.03.2017г.
В указания от Комисията срок от НАП е предоставена справка от информационните масиви на Агенцията за обработени данни на лицето О.Д.А. за периода 01.01.2010г. до 10.03.2017г., както и заверено копие на декларация от 01.08.2013г. на Т.Г.М.В допълнение в хода на производството е предоставена и информация за лицата достъпвали по интернет с квалифициран електронен подпис информационните масиви на Агенцията касаещи данни на жалбоподателя в процесния период.
На проведено на 21.06.2017г. заседание на КЗЛД, жалбата е разгледана по същество.
Жалбоподателят – редовно уведомен, не се явява, не се представлява.
Ответната страна – Национална агенция за приходите – редовно уведомена, представлява се от Б.П., с приложено към преписката пълномощно, която оспорва жалбата и моли Комисията да я остави без уважение, като неоснователна.
Заинтересованата страна – Т.Г.М. – редовно призована, представлява се от адв. Н. от Софийска адвокатска колегия, която оспорва жалбата.
В качеството си на административен орган и във връзка с необходимостта от установяване истинността по случая, като основен принцип в административното производство, съгласно чл.7 от Административно-процесуалния кодекс, изискващ наличието на установени действителни факти, имайки предвид събраните писмени доказателства и наведените от страните твърдения Комисията приема, че разгледана по същество жалбата, в частта й насрочена срещу НАП, е неоснователна.
От събраните по преписката доказателства се установи, а и между страните не е спорно, че НАП обработва – събира и съхранява, лични данни на жалбоподателя в съответствие с и в изпълнение на законоустановените си правомощия произтичащи от Закона за Национална агенция за приходите. Не е спорно също и че Т.Г.М. е служител на агенцията на длъжност началник отдел „Услуги за клиента“, офис „Илинден“, ТД на НАП – София и бивша съпруга на жалбоподателя, както и че същите през 2010г. са имали гражданскоправен спор относно задължения на г-н О.Д.А. за издръжка, а към настоящия момент жалбоподателят е страна по дело за издръжка, заведено от роденото в брака със заинтересованата страна вече пълнолетно дете.
От събраните по преписката доказателства и в частност справка от информационните масиви на НАП за обработени данни на О.Д.А. за периода 01.01.2010г. до 10.03.2017г., обаче не се установи твърдяното от жалбоподателя нарушение на правата му по ЗЗЛД и достъп от страна на г-жа Т.Г.М. до личните му данни обработвани от НАП. Видно от приложените справки достъп до масивите на НАП относно съдържащата се в тях информация за лицето е осъществяван не еднократно, но от лица различни от заинтересованата страна.
Обратно на твърденията на жалбоподателя се налага извода, че НАП обработва личните данни на г-н О.Д.А. законосъобразно и в изпълнение на задълженията си по ЗЗЛД и в частност задължението по чл.23 от ЗЗЛД за предприемане на необходимите технически и организационни мерки за защита на личните данни на физическото лице от неправомерен достъп и употреба.
Във връзка с изложеното и оглед разпределянето на доказателствената тежест в процеса и предвид обстоятелството, че твърденията на жалбоподателя са оспорени от ответната и заинтересованата страна, а служебно събраните в хода на производството доказателства не подкрепят твърденията на г-н О.Д.А., за които въпреки дадените от КЗЛД указания той не е ангажирал доказателства, се налага извода, че същите са неоснователни и следва да бъдат оставени без уважение.
Водима от горното и на основание чл.38, ал.2, във връзка с чл.10, ал.1, т.7 от Закона за защита на личните данни, Комисията за защита на личните данни,
РЕШИ:
1. На основание чл.27, ал.2, т.6 от АПК във връзка с чл.10, ал.1, т.7 от ЗЗЛД обявява жалба Ж-46/08.02.2017г. за недопустима, в частта й насочена срещу Т.Г.М., предвид липсата на пасивно легитимирана страна – администратор на лични данни и прекратява производството по отношение на тази част от жалбата.
2. Оставя без уважение жалбата в останалата й част, като неоснователна.
Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред Административен съд – София – град.
ЧЛЕНОВЕ: | |
Цветелин Софрониев /п/ |